企业微信服务端api理解—身份验证篇

网页授权登录

OAuth的使用：

企业微信提供了OAuth的授权登录方式，可以让从企业微信终端打开的网页获取成员的身份信息，从而免去登录的环节。
企业应用中的URL链接（包括自定义菜单或者消息中的链接），均可通过OAuth2.0验证接口来获取成员的UserId身份信息。

OAuth简介

Auth2的设计背景，在于允许用户在不告知第三方自己的帐号密码情况下，通过授权方式，让第三方服务可以获取自己的资源信息。
OAuth2中最经典的Authorization Code模式：

调用流程为：

A)用户访问第三方服务，第三方服务通过构造OAuth2链接（参数包括当前第三方服务的身份ID，以及重定向URI），将用户引导到认证服务器的授权页
B) 用户选择是否同意授权
C) 若用户同意授权，则认证服务器将用户重定向到第一步指定的重定向URI，同时附上一个授权码。
D)第三方服务收到授权码，带上授权码来源的重定向URI，向认证服务器申请凭证。
E) 认证服务器检查授权码和重定向URI的有效性，通过后颁发AccessToken（调用凭证）

D)与E)的调用为后台调用，不通过浏览器进行

构造网页授权链接

如果企业需要在打开的网页里面携带用户的身份信息，第一步需要构造如下的链接来获取code参数：

https://open.weixin.qq.com/connect/oauth2/authorize?appid=CORPID&redirect_uri=REDIRECT_URI&response_type=code&scope=snsapi_base&state=STATE#wechat_redirect

参数说明：

appid:企业的corpid redirect_uri：授权后重定向的回调链接地址；
response_type：返回类型，此时固定为：code； scope：应用授权作用域。企业自建应用固定填写：snsapi_base
state：重定向后会带上state参数
#wechat_redirect：终端使用此参数判断是否需要带上身份信息

二、扫码授权登录

企业微信扫码登录接入流程；示例图如下：

来自企业微信服务端api提供流程图

构造扫码登录链接
开发者需要构造如下的链接来获取code参数：

https://open.work.weixin.qq.com/wwopen/sso/qrConnect?appid=CORPID&agentid=AGENTID&redirect_uri=REDIRECT_URI&state=STATE

参数说明：

APPID：企业微信的CorpID agentid：授权方的网页应用ID（自建应用的id）
redirect_uri ：重定向地址，需要进行UrlEncode
state：用于保持请求和回调的状态，授权请求后原样带回给企业。该参数可用于防止csrf攻击（跨站请求伪造攻击）

获取访问用户身份
该接口用于根据code获取成员信息

请求方式：GET（HTTPS）
请求地址：https://qyapi.weixin.qq.com/cgi-bin/user/getuserinfo?access_token=ACCESS_TOKEN&code=CODE

参数说明：

access_token 调用接口凭证；
code 通过成员授权获取到的code，最大为512字节。